新手入门：防范SQL注入攻击的新办法

2016-02-19 19:08 8 1 收藏

岁数大了，QQ也不闪了，微信也不响了，电话也不来了，但是图老师依旧坚持为大家推荐最精彩的内容，下面为大家精心准备的新手入门：防范SQL注入攻击的新办法，希望大家看完后能赶快学习起来。

【 tulaoshi.com - Web开发】

　　近段时间由于修改一个ASP程序(有SQL注入漏洞)，在网上找了很多相关的一些防范办法，都不近人意，所以我将现在网上的一些方法综合改良了一下，写出这个ASP函数，供大家参考。

　　以下是引用片段：
　　Function SafeRequest(ParaName)
　　Dim ParaValue
　　ParaValue=Request(ParaName)
　　if IsNumeric(ParaValue) = True then
　　SafeRequest=ParaValue
　　exit Function
　　elseIf Instr(LCase(ParaValue),"select ") 0 or Instr(LCase(ParaValue),"insert ") 0 or Instr(LCase(ParaValue),"delete from") 0 or Instr(LCase(ParaValue),"count(") 0 or Instr(LCase(ParaValue),"drop table") 0 or Instr(LCase(ParaValue),"update ") 0 or Instr(LCase(ParaValue),"truncate ") 0 or Instr(LCase(ParaValue),"asc(") 0 or Instr(LCase(ParaValue),"mid(") 0 or Instr(LCase(ParaValue),"char(") 0 or Instr(LCase(ParaValue),"xp_cmdshell") 0 or Instr(LCase(ParaValue),"exec master") 0 or Instr(LCase(ParaValue),"net localgroup administrators") 0 or Instr(LCase(ParaValue)," and ") 0 or Instr(LCase(ParaValue),"net user") 0 or Instr(LCase(ParaValue)," or ") 0 then
　　 Response.Write "script language='javascript'"
　　 Response.Write "alert('非法的请求!');" '发现SQL注入攻击提示信息
　　 Response.Write "location.href='http://blog.cnd8.com/';" '发现SQL注入攻击转跳网址
　　 Response.Write "script"
　　 Response.end
　　else
　　SafeRequest=ParaValue
　　End If
　　End function

　　使用SafeRequest函数替换你的Request

来源:http://www.tulaoshi.com/n/20160219/1620075.html

上一篇： Asp base64编码、解码函数
下一篇： Windows 7存在容量局限

看过《新手入门：防范SQL注入攻击的新办法》的人还看了以下文章更多>>

SQL注入攻击通杀

标签： SQLServer

MSSQL注入通杀，只要有注入点就有系统权限不知道大家看过这篇文章没有，可以在db_owner角色下添加SYSADMIN帐号，这招真狠啊，存在MSSQL注射漏洞的服务器又要遭殃了。方法主要是利用db_owner可以修改sp_addlogin和sp_addsrvrolemember这两个存储过程，饶过了验证部分。具体方法如下:先输入drop procedure sp_addlogi...

SQL 注入式攻击的本质

标签：编程语言网络编程

有文章还说注入式攻击还会有“第三波”攻击潮，到时候会更加难以察觉，连微软的大佬都跑出来澄清说与微软的技术与编码无关，微软为此还专门推出了三个检测软件，那么这个SQL注入式攻击的漏洞究竟是怎么造成的呢？正如微软的大佬所说的，是由于网站程序的开发人员编码不当造成的，不光是ASP、ASP.NET，也包括JSP、PHP等技术，受影响的也不仅仅...

PHP与SQL注入攻击[二]

标签： PHP

PHP与SQL注入攻击[二] Magic Quotes 上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc 选项启用，那么输入的字符串中的单引号，...

ASP防SQL注入攻击程序

标签： ASP

SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味，发现现在大部分黑客入侵都是基于SQL注入实现的，哎，谁让这个入门容易呢，好了，不说废话了，现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可，所以我们实现http 请求信息过滤就...

PHP与SQL注入攻击[一]

标签： PHP

Haohappy http://blog.csdn.net/Haohappy2004 SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。 ...

查看更多精彩>>